Kritikus távoli kódfuttatási sebezhetőség a Microsoft Outlookban: az e-mail előlnézet mint új támadási vektor
A MonikerLink sérülékenység újabb példája annak, hogy egy egyszerű e-mail előnézet is kockázatot jelenthet. Hogyan kerülik meg a támadók a Protected View védelmét? Miért veszélyes a file:// protokoll?
Az Amerikai Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (Cybersecurity and Infrastructure Security Agency, CISA) a napokban riasztást adott ki a Microsoft Outlook-ot érintő CVE-2024-21413 azonosítójú, más néven MonikerLink sérülékenységgel kapcsolatban.1
A sebezhetőséget még 2024 januárjában fedezték fel, és a Microsoft szinte azonnal ki is adta hozzá a szükséges biztonsági frissítést. Ennek ellenére 1 év elteltével még mindig számos rendszerben aktív veszélyforrást jelent ott, ahol még jelenleg sem történt meg a kiadott frissítés telepítése.
A helyzet súlyosságát jelzi továbbá, hogy:
A CISA február 27-i határidővel kötelezővé tette a javítás telepítését a szövetségi ügynökségeknek
A magánszektorban működő szervezetek számára is sürgős a frissítések telepítése
A sebezhetőség kihasználása meglepően egyszerű: egy speciálisan kialakított e-mail megnyitása vagy akár csak előnézete is elegendő a támadás sikeréhez.
Mi a probléma lényege?
A sebezhetőség különösen veszélyes, mivel:
Megkerüli az Outlook beépített védelmét (Protected View)
Már az e-mail előnézete is elég a támadás sikeréhez
A támadók hozzáférhetnek a felhasználó hitelesítési adataihoz
Tetszőleges kódot futtathatnak a rendszeren
Keep reading with a 7-day free trial
Subscribe to CyberThreat Report to keep reading this post and get 7 days of free access to the full post archives.